[Webinar Recap] Der Bedarf an End-to-End-Kryptographie-Management

Ich hatte die wunderbare Gelegenheit, letzte Woche an einem Webinar mit meinem Freund und Kollegen Ted Shorter von Keyfactor teilzunehmen. Das Thema der Sitzung war die Notwendigkeit eines durchgängigen Kryptographie-Lebenszyklusmanagements in Unternehmen - und die Diskussion hinterließ bei mir einen deutlichen Eindruck. Ich möchte kurz erklären, warum.

Mir ist aufgefallen, dass unsere vielen Sicherheitsberatungsprojekte bei TAG Cyber selten durch Unternehmenskunden motiviert sind, die das Management von Schlüsseln, Zertifikaten und der dazugehörigen kryptografischen Infrastruktur verbessern wollen. Unsere Projekte scheinen immer von Problemen im Zusammenhang mit SIEM, SOC, IAM, UBA und anderen Sicherheitstools für Unternehmen auszugehen.

Aber fast immer - wenn die Sicherheitsberatung erst einmal begonnen hat - stellen wir fest, dass die Teams besonders schlechte oder gar keine Lebenszykluspraktiken für ihre Kryptographie haben. Dies wird oft damit erklärt, dass mehrere Teams beteiligt sind, darunter die Netzwerkteams, die Entwickler und die Sicherheitsorganisation.

Was wir in diesen Fällen empfehlen - und was Ted und ich in unserer Sitzung bekräftigt haben - ist, dass eine praktikable End-to-End-Methode nicht nur möglich ist, sondern auch leichter umzusetzen sein könnte, als man vielleicht erwartet hätte. Und ja - ich zögere nicht zuzugeben, dass Keyfactor in dieser Hinsicht Hilfe leisten kann und wird. Hier sind die Elemente des End-to-End-Prozesses.

Alles beginnt im ersten Schritt mit der Festlegung von Richtlinien und Zuständigkeiten. Eine solche Festlegung schafft eine Grundlage für koordinierte Aktivitäten und ist besonders in größeren Organisationen nützlich, die eine verteilte Kontrolle und Unterstützung für Schlüssel und Zertifikate unterstützen. Das ist in Ordnung, muss aber sorgfältig orchestriert werden.

Der zweite Schritt besteht darin, eine gute Bestandsaufnahme aller kryptografischen Technologien, Prozesse und Anwendungen zu erstellen. Dies geschieht am besten mit Hilfe von Technologien, wo immer dies möglich ist, kann aber auch erfordern, dass Teams im Rahmen einer organisatorischen Entdeckungsinitiative Informationen austauschen. Die Bestandsverwaltung ist, wie zu erwarten, ein fortlaufender Prozess.

Der dritte Schritt umfasst die harte Arbeit der Identifizierung und Behebung aller Schwachstellen, die in der kryptografischen Infrastruktur, einschließlich aller Systeme und Anwendungen, gefunden werden. In unserem Webinar hat Ted zu Recht darauf hingewiesen, dass dies das Herzstück des End-to-End-Prozesses ist und die meiste Zeit und Aufmerksamkeit erfordert, um es richtig zu machen.

Der vierte Schritt ist eine kontinuierliche und fortlaufende Überwachung und Prüfung aller kryptografischen Prozesse. Die Wartung und Unterstützung der Schlüssel- und Zertifikatsinfrastruktur sind wesentliche Aufgaben, die dazu beitragen, sowohl die Einhaltung der Vorschriften als auch die Sicherheit aller Systeme zu gewährleisten, die auf Kryptographie angewiesen sind. Dieser Schritt lässt sich vielleicht besser als parallel zu den anderen Schritten beschreiben.

Schließlich legt die End-to-End-Methode den Schwerpunkt auf die Automatisierung des Lebenszyklus, was mit den Grundprinzipien der Agilität in Einklang steht. Für Routineaufgaben wie die Sicherstellung des Nicht-Ablaufens von Zertifikaten bietet die automatisierte Unterstützung die wesentliche Abdeckung, die Kryptoteams nachts ruhig schlafen lässt. Die Automatisierung hat sich von einer optionalen Annehmlichkeit zu einer wesentlichen Anforderung entwickelt.

Wenn Sie mehr erfahren möchten, lesen Sie das eBook, an dem ich mit Ted und dem Team von Keyfactor gearbeitet habe. Darin werden die wesentlichen Komponenten der von uns vorgeschlagenen End-to-End-Methode dargelegt - und es enthält Beispiele, die Ihnen helfen werden, den Prozess auf Ihre eigene Situation anzuwenden. Nachdem Sie das eBook gelesen haben, lassen Sie mich bitte wissen, was Sie davon halten. Ich freue mich darauf, von Ihnen zu hören.